本發明公開了一種安全認證方法、裝置、認證服務器及存儲介質，所述方法包括：認證服務器接收代理者設備發送的EAP認證開始報文；所述認證服務器響應于所述EAP認證開始報文對所述代理者設備進行認證；當所述認證服務器對所述代理者設備認證通過時，所述認證服務器通過所述代理者設備對申請者設備進行認證。只有當認證服務器對代理者設備認證通過時，認證服務器才會通過代理者設備對申請者設備進行認證，從而可以提高認證服務器的安全性。

技術領域

本發明實施例涉及網絡通信技術領域，尤其涉及一種安全認證方法、裝置、認證服務器及存儲介質。

背景技術

EAP(Extensible Authentication Protocol，可擴展認證協議)是一種提供網絡接入認證的可擴展框架，可以支持不同的認證方法。EAP一般承載在互聯網二層協議之上，用戶只有在完成EAP規定的認證之后才能進行合法的網絡通信，不能正確認證的用戶則不能進行數據通信。許多網絡都使用EAP作為接入認證的標準協議，如802.11、WIMAX(Worldwide Interoperability for Microwave Access，微波存取全球互通)等。

圖1為現有IEEE802.1x認證體系的組成結構示意圖。如圖1所示，基于IEEE802.1x協議的認證體系包括以下三個組成部分：申請者設備、代理者設備和認證服務器。1)、申請者設備：申請者設備需要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發起IEEE802.1x認證。為了支持基于端口的接入控制，申請者需要支持EAPoL協議(EAP OVERLAN基于局域網的擴展認證協議)。2)、代理者設備：代理者設備在申請者設備和認證服務器之間起到代理作用，能夠將來自申請者設備的EAPoL認證請求報文轉為Radius報文發到認證服務器、將認證服務器返回的Radius報文轉為EAPoL報文發送給申請者設備。代理者設備根據認證服務器對申請者設備的認證結果，來決定是否在自身上打開與申請者設備連接的接入物理端口。3)、認證服務器：認證服務器是指能夠具備處理入網身份認證和訪問權限檢查能力的專用服務器，通常為Radius(Remote Authentication Dial In User Service，遠程用戶撥號認證系統)服務器，認證服務器能夠檢查申請者和認證系統的身份、類型和網絡訪問權限，并且通過認證系統向申請者返回身份認證應答結果。認證系統和認證服務器之間通過承載于Radius協議之上的EAP(Extensible Authentication Protocol，擴展認證協議)協議進行通信。具體地，其原理如下：代理者設備向客戶端發起一個認證標識符請求(EAP Request/ID)，客戶端返回自己的認證標識符(EAP Response/ID)，代理者設備把客戶端的認證標識轉發給認證服務器，認證服務器通過本地配置判斷此客戶端應該進行何種具體的認證方法(如EAP-MD5，EAP-TLS等)，然后開始發起具體的認證過程。在認證過程中，代理者設備對EAP的認證消息在客戶端和AAA服務器之間進行透傳，由于不執行具體的認證計算，代理者設備作為接入點不需要實現具體的認證方法；客戶端和認證服務器進行認證相關的安全計算，因此保持了網絡的可擴展性。

在實現本發明的過程中，發明人發現現有技術中至少存在如下問題：

在現有的安全認證方法中，認證服務器并不會對代理者設備進行認證，這種情況下，認證服務器的網絡接口是不受控制的，任何連接到該網絡接口的網絡設備均可以訪問認證服務器，故存在一定的安全隱患。

發明內容

本發明提供一種安全認證方法、裝置、認證服務器及存儲介質，只有當認證服務器對代理者設備認證通過時，認證服務器才會通過代理者設備對申請者設備進行認證，從而可以提高認證服務器的安全性。

為達到上述目的，本發明的技術方案是這樣實現的：

第一方面，本發明實施例提供了一種安全認證方法，所述方法包括：

認證服務器接收代理者設備發送的認證報文；